Je dois mettre mon organisation luxembourgeoise en conformité au considérant 19 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant prepare l'obligation faite aux états membres de tenir un inventaire precis des entités essentielles et importantes. En pratique, l'ILR doit pouvoir prouver a la Commission européenne pourquoi votre organisation a ete (ou n'a pas ete) qualifiée. Les organisations qui pensent passer sous le radar decouvrent souvent trop tard qu'elles figurent deja dans la liste de l'ILR au titre d'un service annexe (data center secondaire, DNS interne, plateforme de paiement intégrée) qu'elles n'avaient pas declare. L'autoqualification erronee est la premiere cause de mise en demeure NIS 2.Le test 'suis-je dans la liste ILR ?' en 5 questionsMon activité figure-t-elle explicitement a l'annexe I (energie, transport, banque, santé, infrastructure numérique, administration publique) ou a l'annexe II (postes, dechets, fabrication, recherché, services numériques) de la directive ?Mes effectifs depassent-ils 50 ETP ou mon chiffre d'affaires depasse-t-il 10 M'EUR (seuil entité importante) voire 250 ETP / 50 M'EUR (seuil entité essentielle) ?Fournissez-vous un service critique même en dessous des seuils (DNS, TLD, qualified trust services, telecoms) qui déclenche une qualification independamment de la taille ?Avez-vous recu un courrier de l'ILR vous notifiant votre qualification, ou avez-vous proactivement complète le formulaire d'enregistrement sur le portail de l'ILR ?Vos filiales ou entités du groupe au Luxembourg sont-elles qualifiées separement, et avez-vous identifié le pays de l'établissement principal au sens de l'article 26 ?Comment Luxgap automatise ce risqueNotre Luxgap NIS2 Scope Radar ferme definitivement la question 'sommes-nous dans le périmètre NIS 2 ?' en croisant en temps reel vos données RCS, votre code NACE, vos effectifs declares au CCSS et vos services techniques exposes sur internet. L'outil ne vous demande pas de remplir un questionnaire de 80 lignes : il interroge directement les sources publiques et vos systèmes connectes pour produire un verdict de qualification opposable.Recupere automatiquement votre code NACE et vos effectifs depuis le RCS et le CCSS, et croise avec les annexes I et II de la directive pour pre-qualifier votre entité.Scanne vos sous-domaines publics, vos enregistrements DNS et vos ASN exposes pour détecter les services critiques caches (resolveur DNS recursif, registrar, IXP, data center) qui déclenchent une qualification independante de la taille.Compare votre situation déclarative auprès de l'ILR avec la réalité technique observee, et alerte sur les ecarts (services non declares, filiales non enregistrées, établissement principal mal identifié).Genere un dossier de qualification PDF horodate, citant l'article precis de la directive et la disposition luxembourgeoise applicable, opposable a l'ILR en cas de contrôle.Surveille en continu les modifications de votre activité (nouveau service, acquisition, depassement de seuil) qui pourraient déclencher une requalification.Disponible en complement ...

Considérant 19 NIS 2 — Considérant 19

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 19

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(19)

Les États membres devraient être chargés de communiquer à la Commission au moins le nombre d’entités essentielles et importantes pour chaque secteur et sous-secteur visés dans les annexes, ainsi que les informations pertinentes sur le nombre d’entités identifiées et la disposition, parmi celles prévues par la présente directive, sur la base de laquelle elles ont été identifiées, et le type de service qu’elles fournissent. Les États membres sont encouragés à échanger avec la Commission des informations sur les entités essentielles et importantes et, en cas d’incident de cybersécurité majeur, des informations pertinentes telles que le nom de l’entité concernée.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR (Institut Luxembourgeois de Régulation) est l'autorité competente désignée pour qualifier les entités essentielles et importantes, recevoir les notifications d'incident et mener les inspections. La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, transpose NIS 2 et impose aux entités concernees de s'enregistrer auprès de l'ILR via le portail dedie, en declarant précisément leurs services releva de l'annexe I ou II.

Pratique Luxgap : ne pas attendre un courrier de l'ILR pour s'enregistrer. L'autoqualification proactive avec dossier d'argumentation (code NACE, services techniques, effectifs CCSS) sur le portail ILR est la meilleure protection contre une requalification retroactive avec effet sanctionnant.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant prepare l'obligation faite aux états membres de tenir un inventaire precis des entités essentielles et importantes. En pratique, l'ILR doit pouvoir prouver a la Commission européenne pourquoi votre organisation a ete (ou n'a pas ete) qualifiée. Les organisations qui pensent passer sous le radar decouvrent souvent trop tard qu'elles figurent deja dans la liste de l'ILR au titre d'un service annexe (data center secondaire, DNS interne, plateforme de paiement intégrée) qu'elles n'avaient pas declare. L'autoqualification erronee est la premiere cause de mise en demeure NIS 2.

Le test 'suis-je dans la liste ILR ?' en 5 questions

Mon activité figure-t-elle explicitement a l'annexe I (energie, transport, banque, santé, infrastructure numérique, administration publique) ou a l'annexe II (postes, dechets, fabrication, recherché, services numériques) de la directive ?
Mes effectifs depassent-ils 50 ETP ou mon chiffre d'affaires depasse-t-il 10 M'EUR (seuil entité importante) voire 250 ETP / 50 M'EUR (seuil entité essentielle) ?
Fournissez-vous un service critique même en dessous des seuils (DNS, TLD, qualified trust services, telecoms) qui déclenche une qualification independamment de la taille ?
Avez-vous recu un courrier de l'ILR vous notifiant votre qualification, ou avez-vous proactivement complète le formulaire d'enregistrement sur le portail de l'ILR ?
Vos filiales ou entités du groupe au Luxembourg sont-elles qualifiées separement, et avez-vous identifié le pays de l'établissement principal au sens de l'article 26 ?

Comment Luxgap automatise ce risque

Notre Luxgap NIS2 Scope Radar ferme definitivement la question 'sommes-nous dans le périmètre NIS 2 ?' en croisant en temps reel vos données RCS, votre code NACE, vos effectifs declares au CCSS et vos services techniques exposes sur internet. L'outil ne vous demande pas de remplir un questionnaire de 80 lignes : il interroge directement les sources publiques et vos systèmes connectes pour produire un verdict de qualification opposable.

Recupere automatiquement votre code NACE et vos effectifs depuis le RCS et le CCSS, et croise avec les annexes I et II de la directive pour pre-qualifier votre entité.
Scanne vos sous-domaines publics, vos enregistrements DNS et vos ASN exposes pour détecter les services critiques caches (resolveur DNS recursif, registrar, IXP, data center) qui déclenchent une qualification independante de la taille.
Compare votre situation déclarative auprès de l'ILR avec la réalité technique observee, et alerte sur les ecarts (services non declares, filiales non enregistrées, établissement principal mal identifié).
Genere un dossier de qualification PDF horodate, citant l'article precis de la directive et la disposition luxembourgeoise applicable, opposable a l'ILR en cas de contrôle.
Surveille en continu les modifications de votre activité (nouveau service, acquisition, depassement de seuil) qui pourraient déclencher une requalification.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un scan gratuit sous 48h pour determiner si vous êtes dans le scope NIS 2 avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 19

Ils nous font confiance

Avant de discuter